Kecelakaan keamanan jembatan lintas rantai sering terjadi, dengan kerugian hampir 2 miliar dolar AS, lebih dari 1,5 miliar telah dipulihkan atau dibayar.
Ringkasan Serangan Jembatan Lintas Rantai: Kerugian Hampir 2 Miliar Dolar, Lebih dari 1,5 Miliar Dolar Dapat Dikompensasi atau Dipulihkan
Ada banyak blockchain publik dalam ekosistem blockchain, tetapi karena kurangnya aset mainstream, sebagian besar perlu mendapatkan aset melalui cross-chain bridges dari blockchain publik mainstream seperti Ethereum. Baru-baru ini, insiden keamanan di bidang DeFi sering terjadi, dan cross-chain bridges menjadi target utama penyerang karena pergerakan dana yang besar. Artikel ini merangkum 10 insiden serangan cross-chain bridges berskala besar yang terjadi di masa lalu, mengingatkan tim pengembang untuk selalu waspada terhadap risiko keamanan. Perlu dicatat bahwa proyek cross-chain bridges dengan latar belakang yang kuat dan kekuatan finansial yang baik sering kali lebih mampu memulihkan aset atau memberikan kompensasi kepada pengguna setelah mengalami insiden keamanan, oleh karena itu, pengguna akan lebih aman memilih cross-chain bridges yang lebih kuat.
ChainSwap: Kerugian 8 juta dolar AS, kompensasi melalui penerbitan ulang token
Pada bulan Juli 2021, ChainSwap mengalami dua kali serangan hacker. Kerugian pertama sekitar 800.000 dolar AS, dan kerugian kedua sekitar 8.000.000 dolar AS. Serangan kedua memiliki dampak yang lebih luas, lebih dari 20 proyek yang menggunakan ChainSwap untuk melakukan cross-chain terpengaruh.
Survei menunjukkan bahwa penyebab kecelakaan adalah karena protokol tidak memverifikasi validitas tanda tangan dengan ketat, sehingga penyerang dapat menggunakan tanda tangan yang mereka buat sendiri untuk menandatangani transaksi. Karena kerugian utama adalah token tata kelola dari berbagai proyek, termasuk ChainSwap, beberapa proyek memutuskan untuk melakukan snapshot dan menerbitkan token baru untuk mengkompensasi pemegang token dan penyedia likuiditas.
Poly Network: $610 juta seluruhnya berhasil dipulihkan
Pada 10 Agustus 2021, protokol interoperabilitas lintas rantai Poly Network diserang oleh hacker, kehilangan aset sebesar 250 juta, 270 juta, dan 85 juta dolar AS di Ethereum, Binance Smart Chain, dan Polygon, dengan total sekitar 610 juta dolar AS.
Serangan terutama memanfaatkan celah dalam logika manajemen hak kontrak Poly Network. Penyerang membangun sebuah operasi di rantai sumber untuk mengubah alamat validator rantai target menjadi alamatnya sendiri; pengulang resmi tanpa waspada mengirim dan mengeksekusi operasi tersebut; penyerang kemudian menandatangani aset yang ditransfer menggunakan alamat validator yang telah diganti; transaksi diverifikasi dan dieksekusi, aset dipindahkan ke alamat peretas.
Penyerang telah mempersiapkan segalanya sebelumnya, dengan sumber dana awal berupa cryptocurrency privasi XMR, yang ditukar menjadi BNB, ETH, dan MATIC di bursa yang tidak memerlukan KYC sebelum menarik dana. Namun, pada akhirnya hacker mengembalikan semua dana, Poly Network juga menyebutnya sebagai "white hat" hacker, dan mengundangnya untuk menjadi kepala penasihat keamanan perusahaan.
Multichain: Kerugian 6 juta dolar AS, sudah dibayar
Pada 18 Januari 2022, Multichain menemukan celah besar yang mempengaruhi enam token yaitu WETH, PERI, OMT, WBNB, MATIC, dan AVAX. Meskipun celah tersebut telah diperbaiki, pengguna masih perlu segera mencabut izin untuk menghindari risiko aset. Sebulan kemudian, Multichain merilis laporan penyelidikan yang menunjukkan bahwa total ada 7962 alamat pengguna yang terkena dampak, di mana 4861 telah mencabut izin, dan 3101 belum mencabut. Total 1889.6612 WETH dan 833.4191 AVAX dicuri, yang dihitung berdasarkan harga 18 Januari bernilai sekitar 604 ribu dolar.
Tim keamanan menganalisis bahwa alasan pencurian adalah masalah yang muncul saat Multichain memeriksa keabsahan Token yang masuk dari pengguna, tidak mempertimbangkan bahwa tidak semua underlying token telah mengimplementasikan fungsi permit, yang mengakibatkan WETH yang sebelumnya diberikan izin kepada kontrak AnyswapV4Router dipindahkan ke alamat jahat yang dibangun oleh penyerang.
Saat merilis laporan penyelidikan, 912.7984 WETH dan 125 AVAX telah berhasil dipulihkan, yang mencakup hampir 50% dari dana yang dicuri. Tim mengusulkan untuk mengembalikan dana yang dipulihkan kepada pengguna yang telah mencabut otorisasi kontrak, tetapi tidak akan membayar kerugian setelah pukul 24:00 pada 18 Februari.
QBridge: Kerugian 80 juta dolar AS, hanya membayar 2%
Pada 28 Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, dengan kerugian sekitar 80 juta dolar.
Penyebab kecelakaan adalah karena QBridge tidak memeriksa kembali apakah alamat nol saat menambahkan token ke dalam daftar putih transfer. Dalam kasus di mana deposit untuk token ERC20 dan pengisian ETH diimplementasikan secara terpisah, fungsi deposit yang digunakan untuk menyimpan token ERC20 dimanfaatkan oleh peretas, dengan mengatur alamat token ERC20 menjadi alamat nol, dan tanpa menyimpan token apapun, secara sembarangan mencetak sejumlah besar token xETH di BSC. Peretas kemudian menggunakan xETH ini sebagai jaminan untuk meminjam token lain dari Qubit, mengakibatkan kehabisan jaminan di Qubit.
Saat ini Qubit hampir tidak ada yang menggunakannya, situs resminya menunjukkan 98% dana yang dicuri belum mendapat kompensasi.
Meter.io: Kerugian sebesar 4,4 juta dolar AS, dibayar dengan pendapatan masa depan
Pada 6 Februari 2022, jembatan lintas rantai Meter Passport telah disalahgunakan secara jahat, menyebabkan kerugian sebesar 4,4 juta dolar.
Meter resmi menyatakan, masalah terletak pada "asumsi kepercayaan yang salah" dalam kode sumber Meter yang diperluas, yang memungkinkan peretas untuk "memanggil fungsi setoran ERC20 yang mendasari" untuk memalsukan transfer BNB dan ETH.
Meter awalnya menyatakan akan menggunakan token MTRG untuk mengganti kerugian BNB dan WETH pengguna. Namun setelah pemungutan suara tata kelola, diputuskan untuk menerbitkan token PASS baru sebagai ganti rugi kepada pengguna, dan menggunakan pendapatan masa depan Meter untuk membeli kembali token PASS, tetapi hingga saat ini belum ada pembelian kembali yang dilakukan.
Ronin: Kerugian 6,2 Miliar Dolar AS, Telah Dibayar
Pada malam 29 Maret 2022, dana di blockchain Ronin yang mendukung Axie Infinity dicuri. Serangan ini terjadi pada 23 Maret, tetapi baru ditemukan pada 29 Maret, mengakibatkan kerugian sekitar 620 juta dolar.
Survei menunjukkan bahwa pencurian Ronin berasal dari serangan rekayasa sosial. Karyawan perusahaan palsu menghubungi karyawan Axie Infinity dan pengembang Ronin, Sky Mavis, melalui LinkedIn, mendorong mereka untuk melamar pekerjaan. Seorang karyawan Sky Mavis mendapatkan "Offer" setelah beberapa putaran wawancara. Setelah mengunduh surat penerimaan "Offer" yang dipalsukan, perangkat lunak peretas menyusup ke sistem Ronin, mengambil alih 4 dari 9 validator. Kemudian, peretas mengendalikan Axie DAO melalui Sky Mavis, yang sebelumnya memungkinkan Sky Mavis untuk menandatangani transaksi atas namanya, dan begitu penyerang mendapatkan akses ke Sky Mavis, mereka dapat memperoleh tanda tangan dari validator Axie DAO.
Dana yang dicuri dari Ronin tidak dapat dipulihkan. Pada 4 April, Sky Mavis mengumumkan telah menyelesaikan pendanaan sebesar 150 juta USD yang dipimpin oleh Binance, untuk mengganti kerugian pengguna. Pada 29 Juni, Sky Mavis meluncurkan kembali jembatan Ronin, di mana pengguna dapat menerima kompensasi. Namun, dana yang dicuri sebagian besar berupa ETH(173600 ETH dan 25,5 juta USDC), selama periode serangan hingga kompensasi, harga ETH turun sekitar 2/3.
Wormhole: Kerugian sebesar 3,26 juta dolar AS, sudah dibayar
Pada 3 Februari 2022, protokol interoperabilitas lintas rantai Wormhole mengalami serangan hacker, dengan kerugian sekitar 120.000 ETH, yang bernilai sekitar 3,26 miliar dolar AS.
Hacker secara besar-besaran mencetak whETH di sisi Solana Wormhole dan menarik semua ETH dari Ethereum. Pada 5 Februari, Wormhole melaporkan bahwa celah ini berasal dari kesalahan kode verifikasi tanda tangan di kontrak inti Wormhole di sisi Solana, di mana penyerang dapat memalsukan pesan "penjaga" untuk mencetak whETH.
Pada 4 Februari, Jump Crypto( sebelumnya mengakuisisi perusahaan pengembang Wormhole Certus One) mengumumkan untuk menginvestasikan 120.000 ETH ke dalam Wormhole, untuk mengganti kerugian yang dicuri, Wormhole kemudian kembali beroperasi.
EvoDeFi: Diperkirakan kerugian mencapai puluhan juta dolar, belum ditangani
Pada 7 Juni 2022, USDT mengalami depeg serius di DEX ValleySwap ekosistem Oasis. ValleySwap pernah menjadi DEX terbesar di rantai Oasis dengan TVL tertinggi sebesar 220 juta dolar AS. Karena imbal hasil pertanian likuiditas untuk pasangan perdagangan USDC-USDT yang tinggi, beberapa pengguna menggunakan kedua stablecoin ini untuk bertani di ValleySwap. Data menunjukkan bahwa dana ValleySwap mulai mengalir keluar secara besar-besaran sejak 4 Juni, dan pada 7 Juni TVL berada di 88,78 juta dolar AS, jumlah kerugian yang tepat tidak diketahui, diperkirakan berada di level puluhan juta dolar.
Alasan aset ValleySwap terlepas adalah karena kekurangan likuiditas di jembatan lintas rantai yang digunakan, EVODeFi, di rantai sumber. EVODeFi menyebutkan bahwa ini disebabkan oleh kepanikan FUD, tetapi alasan ini jelas tidak berdasar. Respon resmi Oasis menyatakan bahwa mereka telah memperingatkan adanya risiko di EVODeFi, Oasis tidak terkait dengan ValleySwap dan EvoDeFi, EvoDeFi adalah risiko tinggi, tidak diaudit, tidak sumber terbuka, dan terpusat. Insiden ini mungkin merupakan pencurian aset pengguna oleh EVODeFi melalui pintu belakang.
Pengguna mengalami kerugian tanpa solusi, Oasis berusaha untuk menjauhkan diri, ValleySwap dan EVODeFi menghentikan pembaruan resmi di Twitter setelah 8 Juni, sebenarnya telah melarikan diri.
Horizon: Kerugian hampir 100 juta USD, sedang menyusun rencana kompensasi
Pada 24 Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian dana sekitar 100 juta dolar.
Pada 26 Juni, pendiri Harmony Stephen Tse mengakui bahwa kemungkinan "kebocoran kunci pribadi" yang menyebabkan serangan. Dana dicuri di jaringan Ethereum dan BNB, termasuk BUSD, USDC, ETH, WBTC, dan lainnya. Sebelumnya, untuk memindahkan dana antara Ethereum dan Horizon, hanya diperlukan 2 dari 5 tanda tangan, setelah kejadian jumlah tanda tangan yang diperlukan diubah menjadi 4 dari 5.
Harmony sebelumnya berharap untuk mengganti sebagian kerugian pengguna ( dalam 3 tahun dengan menerbitkan lebih banyak token ONE, tetapi tidak mencapai kesepakatan dengan komunitas. Setelah proposal kompensasi diajukan oleh komunitas pada 27 Juli, Stephen Tse menyatakan memahami kekhawatiran komunitas dan akan merumuskan kembali rencana kompensasi.
Nomad: Kerugian 1,9 juta dolar AS, sedang diproses
Pada 2 Agustus 2022, likuiditas Nomad habis dengan cepat, sebelum insiden keamanan, terdapat likuiditas sebesar 190 juta dolar AS. Insiden tersebut juga mengakibatkan protokol interoperabilitas Layer2 Connext mengalami kerugian sekitar 3,34 juta dolar AS, pada saat itu Connext memegang sekitar 3,34 juta dolar AS madAssets di rantai yang terpengaruh.
Peneliti menganalisis bahwa kecelakaan itu disebabkan oleh pembaruan kontrak Nomad yang menginisialisasi root kepercayaan menjadi 0x00, yang memungkinkan siapa saja untuk mengganti alamat lawan dengan alamat mereka sendiri menggunakan transaksi yang valid, kemudian menyiarkan transaksi untuk menarik dana dari jembatan lintas rantai.
Analisis menunjukkan, serangan melibatkan 1251 alamat ETH, dengan jumlah sekitar 190 juta USD, di mana 12 alamat ENS menyumbang sekitar 38% dari total. Pihak proyek belum memberikan rencana kompensasi yang jelas, beberapa hacker topi putih menyatakan bersedia mengembalikan dana.
Ringkasan
Kecelakaan keamanan jembatan lintas rantai sering terjadi dan patut diwaspadai, Multichain, Portal)Wormhole(, dan Poly Network yang berada di tiga teratas dalam peringkat likuiditas semuanya pernah mengalami kecelakaan keamanan, menunjukkan bahwa jembatan lintas rantai adalah bidang berisiko tinggi, dan jembatan lintas rantai mana pun dapat mengalami masalah keamanan lagi.
Relatif, jembatan lintas rantai yang memiliki latar belakang tim pengembang yang baik dan kekuatan finansial yang kuat lebih mudah untuk mendapatkan kembali aset atau melakukan kompensasi setelah insiden keamanan, seperti Poly Network, Ronin Network, dan Wormhole yang berhasil mendapatkan kembali atau memberikan kompensasi penuh setelah dana besar dicuri.
Penting bagi tim untuk memantau secara real-time dan menangani dengan aktif. Hop Protocol dan StarGate cepat menangani laporan aktivitas mencurigakan dan berhasil mencegah serangan hacker.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
4
Posting ulang
Bagikan
Komentar
0/400
NewDAOdreamer
· 08-16 16:39
Mengapa risiko keamanan jembatan ini begitu besar... takut uang hilang.
Lihat AsliBalas0
TideReceder
· 08-15 15:14
Orang kaya jembatan lintas rantai memberi uang itu adalah sapi; orang miskin mengembalikan uang itu sangat sulit.
Lihat AsliBalas0
ponzi_poet
· 08-15 14:54
cross-chain bridges mengirim uang, teknologi keamanan sangat bergantung pada partisipasi
Kecelakaan keamanan jembatan lintas rantai sering terjadi, dengan kerugian hampir 2 miliar dolar AS, lebih dari 1,5 miliar telah dipulihkan atau dibayar.
Ringkasan Serangan Jembatan Lintas Rantai: Kerugian Hampir 2 Miliar Dolar, Lebih dari 1,5 Miliar Dolar Dapat Dikompensasi atau Dipulihkan
Ada banyak blockchain publik dalam ekosistem blockchain, tetapi karena kurangnya aset mainstream, sebagian besar perlu mendapatkan aset melalui cross-chain bridges dari blockchain publik mainstream seperti Ethereum. Baru-baru ini, insiden keamanan di bidang DeFi sering terjadi, dan cross-chain bridges menjadi target utama penyerang karena pergerakan dana yang besar. Artikel ini merangkum 10 insiden serangan cross-chain bridges berskala besar yang terjadi di masa lalu, mengingatkan tim pengembang untuk selalu waspada terhadap risiko keamanan. Perlu dicatat bahwa proyek cross-chain bridges dengan latar belakang yang kuat dan kekuatan finansial yang baik sering kali lebih mampu memulihkan aset atau memberikan kompensasi kepada pengguna setelah mengalami insiden keamanan, oleh karena itu, pengguna akan lebih aman memilih cross-chain bridges yang lebih kuat.
ChainSwap: Kerugian 8 juta dolar AS, kompensasi melalui penerbitan ulang token
Pada bulan Juli 2021, ChainSwap mengalami dua kali serangan hacker. Kerugian pertama sekitar 800.000 dolar AS, dan kerugian kedua sekitar 8.000.000 dolar AS. Serangan kedua memiliki dampak yang lebih luas, lebih dari 20 proyek yang menggunakan ChainSwap untuk melakukan cross-chain terpengaruh.
Survei menunjukkan bahwa penyebab kecelakaan adalah karena protokol tidak memverifikasi validitas tanda tangan dengan ketat, sehingga penyerang dapat menggunakan tanda tangan yang mereka buat sendiri untuk menandatangani transaksi. Karena kerugian utama adalah token tata kelola dari berbagai proyek, termasuk ChainSwap, beberapa proyek memutuskan untuk melakukan snapshot dan menerbitkan token baru untuk mengkompensasi pemegang token dan penyedia likuiditas.
Poly Network: $610 juta seluruhnya berhasil dipulihkan
Pada 10 Agustus 2021, protokol interoperabilitas lintas rantai Poly Network diserang oleh hacker, kehilangan aset sebesar 250 juta, 270 juta, dan 85 juta dolar AS di Ethereum, Binance Smart Chain, dan Polygon, dengan total sekitar 610 juta dolar AS.
Serangan terutama memanfaatkan celah dalam logika manajemen hak kontrak Poly Network. Penyerang membangun sebuah operasi di rantai sumber untuk mengubah alamat validator rantai target menjadi alamatnya sendiri; pengulang resmi tanpa waspada mengirim dan mengeksekusi operasi tersebut; penyerang kemudian menandatangani aset yang ditransfer menggunakan alamat validator yang telah diganti; transaksi diverifikasi dan dieksekusi, aset dipindahkan ke alamat peretas.
Penyerang telah mempersiapkan segalanya sebelumnya, dengan sumber dana awal berupa cryptocurrency privasi XMR, yang ditukar menjadi BNB, ETH, dan MATIC di bursa yang tidak memerlukan KYC sebelum menarik dana. Namun, pada akhirnya hacker mengembalikan semua dana, Poly Network juga menyebutnya sebagai "white hat" hacker, dan mengundangnya untuk menjadi kepala penasihat keamanan perusahaan.
Multichain: Kerugian 6 juta dolar AS, sudah dibayar
Pada 18 Januari 2022, Multichain menemukan celah besar yang mempengaruhi enam token yaitu WETH, PERI, OMT, WBNB, MATIC, dan AVAX. Meskipun celah tersebut telah diperbaiki, pengguna masih perlu segera mencabut izin untuk menghindari risiko aset. Sebulan kemudian, Multichain merilis laporan penyelidikan yang menunjukkan bahwa total ada 7962 alamat pengguna yang terkena dampak, di mana 4861 telah mencabut izin, dan 3101 belum mencabut. Total 1889.6612 WETH dan 833.4191 AVAX dicuri, yang dihitung berdasarkan harga 18 Januari bernilai sekitar 604 ribu dolar.
Tim keamanan menganalisis bahwa alasan pencurian adalah masalah yang muncul saat Multichain memeriksa keabsahan Token yang masuk dari pengguna, tidak mempertimbangkan bahwa tidak semua underlying token telah mengimplementasikan fungsi permit, yang mengakibatkan WETH yang sebelumnya diberikan izin kepada kontrak AnyswapV4Router dipindahkan ke alamat jahat yang dibangun oleh penyerang.
Saat merilis laporan penyelidikan, 912.7984 WETH dan 125 AVAX telah berhasil dipulihkan, yang mencakup hampir 50% dari dana yang dicuri. Tim mengusulkan untuk mengembalikan dana yang dipulihkan kepada pengguna yang telah mencabut otorisasi kontrak, tetapi tidak akan membayar kerugian setelah pukul 24:00 pada 18 Februari.
QBridge: Kerugian 80 juta dolar AS, hanya membayar 2%
Pada 28 Januari 2022, jembatan lintas rantai QBridge dari protokol pinjaman Qubit diserang, dengan kerugian sekitar 80 juta dolar.
Penyebab kecelakaan adalah karena QBridge tidak memeriksa kembali apakah alamat nol saat menambahkan token ke dalam daftar putih transfer. Dalam kasus di mana deposit untuk token ERC20 dan pengisian ETH diimplementasikan secara terpisah, fungsi deposit yang digunakan untuk menyimpan token ERC20 dimanfaatkan oleh peretas, dengan mengatur alamat token ERC20 menjadi alamat nol, dan tanpa menyimpan token apapun, secara sembarangan mencetak sejumlah besar token xETH di BSC. Peretas kemudian menggunakan xETH ini sebagai jaminan untuk meminjam token lain dari Qubit, mengakibatkan kehabisan jaminan di Qubit.
Saat ini Qubit hampir tidak ada yang menggunakannya, situs resminya menunjukkan 98% dana yang dicuri belum mendapat kompensasi.
Meter.io: Kerugian sebesar 4,4 juta dolar AS, dibayar dengan pendapatan masa depan
Pada 6 Februari 2022, jembatan lintas rantai Meter Passport telah disalahgunakan secara jahat, menyebabkan kerugian sebesar 4,4 juta dolar.
Meter resmi menyatakan, masalah terletak pada "asumsi kepercayaan yang salah" dalam kode sumber Meter yang diperluas, yang memungkinkan peretas untuk "memanggil fungsi setoran ERC20 yang mendasari" untuk memalsukan transfer BNB dan ETH.
Meter awalnya menyatakan akan menggunakan token MTRG untuk mengganti kerugian BNB dan WETH pengguna. Namun setelah pemungutan suara tata kelola, diputuskan untuk menerbitkan token PASS baru sebagai ganti rugi kepada pengguna, dan menggunakan pendapatan masa depan Meter untuk membeli kembali token PASS, tetapi hingga saat ini belum ada pembelian kembali yang dilakukan.
Ronin: Kerugian 6,2 Miliar Dolar AS, Telah Dibayar
Pada malam 29 Maret 2022, dana di blockchain Ronin yang mendukung Axie Infinity dicuri. Serangan ini terjadi pada 23 Maret, tetapi baru ditemukan pada 29 Maret, mengakibatkan kerugian sekitar 620 juta dolar.
Survei menunjukkan bahwa pencurian Ronin berasal dari serangan rekayasa sosial. Karyawan perusahaan palsu menghubungi karyawan Axie Infinity dan pengembang Ronin, Sky Mavis, melalui LinkedIn, mendorong mereka untuk melamar pekerjaan. Seorang karyawan Sky Mavis mendapatkan "Offer" setelah beberapa putaran wawancara. Setelah mengunduh surat penerimaan "Offer" yang dipalsukan, perangkat lunak peretas menyusup ke sistem Ronin, mengambil alih 4 dari 9 validator. Kemudian, peretas mengendalikan Axie DAO melalui Sky Mavis, yang sebelumnya memungkinkan Sky Mavis untuk menandatangani transaksi atas namanya, dan begitu penyerang mendapatkan akses ke Sky Mavis, mereka dapat memperoleh tanda tangan dari validator Axie DAO.
Dana yang dicuri dari Ronin tidak dapat dipulihkan. Pada 4 April, Sky Mavis mengumumkan telah menyelesaikan pendanaan sebesar 150 juta USD yang dipimpin oleh Binance, untuk mengganti kerugian pengguna. Pada 29 Juni, Sky Mavis meluncurkan kembali jembatan Ronin, di mana pengguna dapat menerima kompensasi. Namun, dana yang dicuri sebagian besar berupa ETH(173600 ETH dan 25,5 juta USDC), selama periode serangan hingga kompensasi, harga ETH turun sekitar 2/3.
Wormhole: Kerugian sebesar 3,26 juta dolar AS, sudah dibayar
Pada 3 Februari 2022, protokol interoperabilitas lintas rantai Wormhole mengalami serangan hacker, dengan kerugian sekitar 120.000 ETH, yang bernilai sekitar 3,26 miliar dolar AS.
Hacker secara besar-besaran mencetak whETH di sisi Solana Wormhole dan menarik semua ETH dari Ethereum. Pada 5 Februari, Wormhole melaporkan bahwa celah ini berasal dari kesalahan kode verifikasi tanda tangan di kontrak inti Wormhole di sisi Solana, di mana penyerang dapat memalsukan pesan "penjaga" untuk mencetak whETH.
Pada 4 Februari, Jump Crypto( sebelumnya mengakuisisi perusahaan pengembang Wormhole Certus One) mengumumkan untuk menginvestasikan 120.000 ETH ke dalam Wormhole, untuk mengganti kerugian yang dicuri, Wormhole kemudian kembali beroperasi.
EvoDeFi: Diperkirakan kerugian mencapai puluhan juta dolar, belum ditangani
Pada 7 Juni 2022, USDT mengalami depeg serius di DEX ValleySwap ekosistem Oasis. ValleySwap pernah menjadi DEX terbesar di rantai Oasis dengan TVL tertinggi sebesar 220 juta dolar AS. Karena imbal hasil pertanian likuiditas untuk pasangan perdagangan USDC-USDT yang tinggi, beberapa pengguna menggunakan kedua stablecoin ini untuk bertani di ValleySwap. Data menunjukkan bahwa dana ValleySwap mulai mengalir keluar secara besar-besaran sejak 4 Juni, dan pada 7 Juni TVL berada di 88,78 juta dolar AS, jumlah kerugian yang tepat tidak diketahui, diperkirakan berada di level puluhan juta dolar.
Alasan aset ValleySwap terlepas adalah karena kekurangan likuiditas di jembatan lintas rantai yang digunakan, EVODeFi, di rantai sumber. EVODeFi menyebutkan bahwa ini disebabkan oleh kepanikan FUD, tetapi alasan ini jelas tidak berdasar. Respon resmi Oasis menyatakan bahwa mereka telah memperingatkan adanya risiko di EVODeFi, Oasis tidak terkait dengan ValleySwap dan EvoDeFi, EvoDeFi adalah risiko tinggi, tidak diaudit, tidak sumber terbuka, dan terpusat. Insiden ini mungkin merupakan pencurian aset pengguna oleh EVODeFi melalui pintu belakang.
Pengguna mengalami kerugian tanpa solusi, Oasis berusaha untuk menjauhkan diri, ValleySwap dan EVODeFi menghentikan pembaruan resmi di Twitter setelah 8 Juni, sebenarnya telah melarikan diri.
Horizon: Kerugian hampir 100 juta USD, sedang menyusun rencana kompensasi
Pada 24 Juni 2022, jembatan lintas rantai resmi Harmony, Horizon, diserang, mengakibatkan kerugian dana sekitar 100 juta dolar.
Pada 26 Juni, pendiri Harmony Stephen Tse mengakui bahwa kemungkinan "kebocoran kunci pribadi" yang menyebabkan serangan. Dana dicuri di jaringan Ethereum dan BNB, termasuk BUSD, USDC, ETH, WBTC, dan lainnya. Sebelumnya, untuk memindahkan dana antara Ethereum dan Horizon, hanya diperlukan 2 dari 5 tanda tangan, setelah kejadian jumlah tanda tangan yang diperlukan diubah menjadi 4 dari 5.
Harmony sebelumnya berharap untuk mengganti sebagian kerugian pengguna ( dalam 3 tahun dengan menerbitkan lebih banyak token ONE, tetapi tidak mencapai kesepakatan dengan komunitas. Setelah proposal kompensasi diajukan oleh komunitas pada 27 Juli, Stephen Tse menyatakan memahami kekhawatiran komunitas dan akan merumuskan kembali rencana kompensasi.
Nomad: Kerugian 1,9 juta dolar AS, sedang diproses
Pada 2 Agustus 2022, likuiditas Nomad habis dengan cepat, sebelum insiden keamanan, terdapat likuiditas sebesar 190 juta dolar AS. Insiden tersebut juga mengakibatkan protokol interoperabilitas Layer2 Connext mengalami kerugian sekitar 3,34 juta dolar AS, pada saat itu Connext memegang sekitar 3,34 juta dolar AS madAssets di rantai yang terpengaruh.
Peneliti menganalisis bahwa kecelakaan itu disebabkan oleh pembaruan kontrak Nomad yang menginisialisasi root kepercayaan menjadi 0x00, yang memungkinkan siapa saja untuk mengganti alamat lawan dengan alamat mereka sendiri menggunakan transaksi yang valid, kemudian menyiarkan transaksi untuk menarik dana dari jembatan lintas rantai.
Analisis menunjukkan, serangan melibatkan 1251 alamat ETH, dengan jumlah sekitar 190 juta USD, di mana 12 alamat ENS menyumbang sekitar 38% dari total. Pihak proyek belum memberikan rencana kompensasi yang jelas, beberapa hacker topi putih menyatakan bersedia mengembalikan dana.
Ringkasan
Kecelakaan keamanan jembatan lintas rantai sering terjadi dan patut diwaspadai, Multichain, Portal)Wormhole(, dan Poly Network yang berada di tiga teratas dalam peringkat likuiditas semuanya pernah mengalami kecelakaan keamanan, menunjukkan bahwa jembatan lintas rantai adalah bidang berisiko tinggi, dan jembatan lintas rantai mana pun dapat mengalami masalah keamanan lagi.
Relatif, jembatan lintas rantai yang memiliki latar belakang tim pengembang yang baik dan kekuatan finansial yang kuat lebih mudah untuk mendapatkan kembali aset atau melakukan kompensasi setelah insiden keamanan, seperti Poly Network, Ronin Network, dan Wormhole yang berhasil mendapatkan kembali atau memberikan kompensasi penuh setelah dana besar dicuri.
Penting bagi tim untuk memantau secara real-time dan menangani dengan aktif. Hop Protocol dan StarGate cepat menangani laporan aktivitas mencurigakan dan berhasil mencegah serangan hacker.